SOC(Service and Organization Controls) 2는 미국 공인회계사 협회(AICPA) 감사기준위원회(Auditing Standards Board)의 SSAE 18을 기반으로 하는 보고서로, 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호에 관한 트러스트 서비스 기준과 관련된 서비스 조직의 제어를 평가합니다.
Google Cloud 및 Google Workspace SOC 2 보고서를 찾고 계신가요? 고객은 규정 준수 보고서 관리자를 통해 언제든지 보고서를 요청할 수 있습니다.
Google Cloud는 이 표준과 관련된 제품, 시스템, 인프라에 대해 정기적으로 서드 파티 감사를 받습니다. SOC 2 보고서는 Google Cloud가 고객 데이터를 보호하기 위해 마련한 통제에 대해 Google Cloud가 주장하는 일련의 진술을 입증하는 객관적인 제3자가 작성합니다. 감사 회사의 평가에는 감사 기간 내에 통제의 설계 및 운영 효과에 대한 포괄적인 테스트가 포함됩니다.
고객은 SOC 2 보고서를 사용하여 감사 기간 동안 평가된 Google Cloud 및 Google Workspace 시스템과의 상호작용으로 인해 발생하는 위험을 평가할 수 있습니다.
핵심 Google Cloud 및 Google Workspace SOC 2 Type II 보고서는 반년에 한 번 발행되며 규정 준수 보고서 관리자를 통해 다운로드할 수 있습니다. 이러한 보고서의 적용 기간 및 발행 날짜는 다음과 같습니다.
브리지 레터는 서비스 제공업체(이 경우 Google Cloud)의 관리진에 의해 작성된 증명으로, 보안 운영 센터(SOC) 보고서 종료일에서 고객의 기간 종료일까지의 차이를 '브리징'하기 위한 것입니다. 브리지 레터는 최신 SOC 보고서의 기간 종료일 이후 내부 통제 환경에서 확인된 중대한 변경사항 또는 문제를 요약합니다. 브리지 레터는 SOC 1 및 SOC 2 보고서에 제공됩니다.
Google Cloud는 최신 SOC 보고서 이후의 기간을 다루도록 설계된 각 브리지 레터를 통해 매월 브리지 레터를 작성합니다. 예를 들어 Google Cloud는 11월 1일부터 12월 31일까지의 기간을 다루기 위해 1월 초에 브리지 레터를 발행하여 이전에 발행된 SOC 보고서의 적용 기간을 10월 31일까지 연장합니다.
핵심 Google Cloud 및 Google Workspace SOC 2 보고서에 대한 SOC 브리지 레터는 3월 31일, 6월 30일, 9월 30일, 12월 31일에 종료되는 기간에 대해 규정 준수 보고서 관리자에서 제공되며 직접 다운로드할 수 있습니다. 다른 기간 종료일 또는 제품 범위를 다루는 브리지 레터가 필요한 경우 영업팀 또는 지원팀에 문의하세요.
Google Cloud의 독립 감사 기관은 Ernst & Young LLP와 Coalfire입니다.
SOC 2 Type I 보고서는 특정 시점의 서비스 조직의 제어 설계를 다룹니다. SOC 2 Type II 보고서는 일정 기간 동안 서비스 조직의 제어 설계 및 운영 효과를 다룹니다. 예를 들어 SOC 2 Type I은 현재 서비스 조직의 제어를 평가하지만 SOC 2 Type II는 지난 6개월 이내의 서비스 조직의 제어를 평가합니다. Google Cloud는 SOC 2 Type II 보고서만 발행합니다.
다음은 SOC 2 범위에 해당하는 Google Cloud 서비스입니다.
서비스 이름을 간소화한 경우 이전 명칭도 괄호 안에 포함했습니다.
AI Platform Deep Learning Container
AI Platform Neural Architecture Search(NAS)
AI Platform Training and Prediction
BigQuery Data Transfer Service
Cloud Intrusion Detection System(IDS)
Cloud Key Management Service(KMS)
Cloud Life Sciences(이전 명칭: Google Genomics)
Vertex AI의 생성형 AI(이전 명칭: Vertex AI의 생성형 AI 지원)
Google Cloud Identity-Aware Proxy
Google Cloud VMware Engine(GCVE)
Identity & Access Management(IAM)
Microsoft Active Directory(AD)용 관리형 서비스
Migrate to Virtual Machines(이전 명칭: Migrate for Compute Engine)
Notebooks(이전 명칭: AI Platform Notebooks)
Sensitive Data Protection(Cloud Data Loss Prevention 포함)
Google Security Operations를 위한 위협 인텔리전스
Vertex AI Conversation(이전 명칭: 생성형 AI 앱 빌더)
Vertex AI Platform(이전 명칭: Vertex AI)
Gmail을 열고
액세스 투명성은 Google Cloud 관리자가 콘텐츠에 액세스할 때 거의 실시간으로 관리자의 작업 로그를 제공합니다.
온프레미스와 동일한 방법으로 클라우드 서비스의 암호화 키를 관리하여 Google Cloud에 저장한 보안 비밀과 기타 민감한 정보를 보호하세요.
Google의 글로벌 인프라 및 보안 시스템을 사용하여 인프라 및 애플리케이션에 대한 모든 규모의 DDoS 공격을 막는 방어 체계입니다.
한 곳에서 가상 머신, 네트워크, 애플리케이션, 스토리지의 위협을 예방 및 감지하고 피해 또는 손실을 입기 전에 조치를 취합니다.
Sensitive Data Protection(Cloud Data Loss Prevention 포함)
이름, 신용카드 번호, Google Cloud 사용자 인증 정보와 같은 민감한 정보 요소를 빠르고 확장 가능하게 분류하고 수정할 수 있습니다.
Cloud Storage 버킷, Bigtable 인스턴스, BigQuery 데이터 세트와 같은 Google Cloud 리소스의 보안 경계를 정의하여 민감한 정보를 비공개로 유지합니다.